Exchange Server 的 Outlook for iOS 和 Android 的管理裝置

Microsoft 建議Exchange ActiveSync來管理用來存取內部部署環境中 Exchange 信箱的行動裝置。 Exchange ActiveSync是一種 Microsoft Exchange 同步處理通訊協定，可讓行動電話在執行 Microsoft Exchange 的伺服器上存取組織的資訊。

本文著重于使用基本驗證進行驗證時，執行 iOS 版 Outlook 和 Android 行動裝置的特定Exchange ActiveSync功能和案例。 如需 Microsoft Exchange 同步處理通訊協定的完整資訊，請參閱Exchange ActiveSync。 此外，還有Office 部落格的相關資訊，詳細說明密碼強制執行，以及搭配執行 iOS 和 Android 版 Outlook 的裝置使用Exchange ActiveSync的其他優點。

行動裝置信箱原則

iOS 和 Android 版 Outlook 在 Exchange 內部部署中支援下列行動裝置信箱原則設定：

• 已啟用裝置加密

• 只有 Android (的密碼長度下限)

• 已啟用密碼

• 允許使用藍牙 (來管理 Android 版 Outlook 可穿戴式裝置應用程式)

  • 啟用 AllowBluetooth (預設行為) 或針對 HandsfreeOnly 設定時，公司或學校帳戶會允許 Android 裝置上的 Outlook 與可穿戴式裝置上的 Outlook 之間的可穿戴式同步處理。

  • 當 AllowBluetooth 停用時，Android 版 Outlook 會停用 Android 裝置上的 Outlook 與指定之公司或學校帳戶的可穿戴裝置上的 Outlook 之間的同步 (，並刪除先前針對帳戶) 同步處理的任何資料。 停用同步處理完全在 Outlook 本身內控制;裝置或可穿戴裝置上未停用藍牙，也不會影響任何其他可穿戴式應用程式。

如需如何建立或修改現有行動裝置信箱原則的資訊，請參閱 行動裝置信箱原則。

PIN 鎖定和裝置加密

如果您組織的Exchange ActiveSync原則需要行動裝置上的密碼，使用者才能同步處理電子郵件，Outlook 會在裝置層級強制執行此原則。 這會根據 Apple 和 Google 提供的可用控制項，在 iOS 裝置和 Android 裝置之間以不同的方式運作。

在 iOS 裝置上，Outlook 會檢查以確定密碼或 PIN 已正確設定。 如果未設定密碼，Outlook 會提示使用者在 iOS 設定中建立密碼。 在設定密碼之前，使用者將無法存取 iOS 版 Outlook。

在 Android 裝置上，Outlook 會強制執行螢幕鎖定規則。 此外，Google 提供的控制項可讓 Outlook for Android 遵守有關密碼長度和複雜度的 Exchange 原則，以及在抹除手機之前允許的螢幕解除鎖定嘗試次數。 如果未啟用儲存體加密，Android 版 Outlook 也會鼓勵進行儲存體加密，並透過逐步逐步解說引導使用者完成此程式。

不支援這些密碼安全性設定的 iOS 和 Android 裝置將無法連線到 Exchange 信箱。

裝置加密

iOS 裝置隨附內建加密，一旦啟用密碼，Outlook 就會使用它來加密 iOS 裝置本機儲存的所有資料 Outlook。 因此，無論 ActiveSync 原則是否需要此功能，都會加密具有 PIN 的 iOS 裝置。

Android 版 Outlook 支援透過 Exchange 行動裝置信箱原則進行裝置加密。 不過，在 Android 7.0 之前，此程式的可用性和實作會因 Android OS 版本和裝置製造商而有所不同，這可讓使用者在加密程式期間取消。 隨著 Google 引進 Android 7.0 的變更，Android 版 Outlook 現在可以在執行 Android 7.0 或更新版本的裝置上強制執行加密。 具有執行這些作業系統的裝置的使用者將無法取消加密程式。

即使 Android 裝置未加密，且攻擊者擁有裝置，只要裝置 PIN 已啟用，Outlook 資料庫仍無法存取。 即使已啟用 USB 偵錯並安裝 Android SDK，也是如此。 如果攻擊者嘗試讓裝置根目錄略過 PIN 以取得此資訊的存取權，根處理常式會抹除所有裝置儲存體，並移除所有 Outlook 資料。 如果裝置在遭竊之前未加密並由使用者進行 Root 破解，攻擊者就可以透過在裝置上啟用 USB 偵錯，並將裝置插入已安裝 Android SDK 的電腦，來取得 Outlook 資料庫的存取權。

使用Exchange ActiveSync遠端抹除

Exchange ActiveSync可讓系統管理員從遠端抹除裝置，例如裝置遭到入侵或遺失/遭竊。 使用 iOS 和 Android 版 Outlook 時，遠端抹除只會抹除 Outlook 應用程式本身內的資料，而且不會觸發完整的裝置抹除。

如需詳細資訊，請參閱在 行動電話上執行遠端抹除 。

裝置存取原則

預設應該啟用 iOS 和 Android 版 Outlook，但在某些現有的 Exchange 內部部署環境中，可能會因為各種原因而封鎖應用程式。 一旦組織決定將使用者存取 Exchange 資料的方式標準化，並使用 iOS 和 Android 版 Outlook 做為終端使用者的唯一電子郵件應用程式之後，您就可以為在使用者的 iOS 和 Android 裝置上執行的其他電子郵件應用程式設定區塊。 您有兩個選項可在 Exchange 內部部署中安裝這些區塊：第一個選項會封鎖所有裝置，而且只允許使用 iOS 和 Android 版 Outlook;第二個選項可讓您封鎖個別裝置使用原生Exchange ActiveSync應用程式。

選項 1：封鎖 iOS 和 Android 版 Outlook 以外的所有電子郵件應用程式

您可以定義預設區塊規則，然後使用下列 Exchange 內部部署 PowerShell 命令，為 iOS 和 Android 版 Outlook 以及 Windows 裝置設定允許規則。 此設定會防止任何Exchange ActiveSync原生應用程式連線，而且只會允許 iOS 和 Android 版 Outlook。

1. 建立預設區塊規則：

   Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
   

2. 建立適用于 iOS 和 Android 版 Outlook 的允許規則

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
   

3. 選用：建立規則，以允許 Windows 裝置上的 Outlook 進行Exchange ActiveSync連線 (WindowsMail 指的是包含在 Windows 10) 中的郵件應用程式：

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WindowsMail" -AccessLevel Allow
   

選項 2：封鎖 Android 和 iOS 裝置上的原生Exchange ActiveSync應用程式

或者，您可以在特定的 Android 和 iOS 裝置或其他類型的裝置上封鎖原生Exchange ActiveSync應用程式。

1. 確認沒有任何Exchange ActiveSync裝置存取規則會封鎖 iOS 和 Android 版 Outlook：

   Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | ft Name,AccessLevel,QueryString -auto
   

   如果找到任何封鎖 iOS 版和 Android 版 Outlook 的裝置存取規則，請輸入下列命令來移除這些規則：

   Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | Remove-ActiveSyncDeviceAccessRule
   

2. 您可以使用下列命令來封鎖大部分的 Android 和 iOS 裝置：

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block
   

3. 並非所有 Android 裝置製造商都會將 「Android」 指定為 DeviceType。 製造商可以在每個版本中指定唯一的值。 若要尋找其他正在存取您環境的 Android 裝置，請執行下列命令，以產生具有作用中Exchange ActiveSync合作關係的所有裝置報告：

   Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv
   

4. 根據步驟 3 的結果，建立其他區塊規則。 例如，如果您發現您的環境具有高使用率的 HTCOne Android 裝置，您可以建立Exchange ActiveSync裝置存取規則來封鎖該特定裝置，強制使用者使用 iOS 和 Android 版 Outlook。 在此範例中，您會輸入：

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
   

其他資源：

• New-ActiveSyncDeviceAccessRule

• Get-MobileDevice

• Set-ActiveSyncOrganizationSettings

封鎖 iOS 和 Android 版 Outlook

每個 Exchange 組織對於安全性和裝置管理都有不同的原則。 如果組織決定 iOS 版和 Android 版 Outlook 不符合其需求，或不是最適合他們的解決方案，系統管理員就能夠封鎖應用程式。 一旦封鎖應用程式，組織中的行動 Exchange 使用者就可以使用 iOS 和 Android 上的內建郵件應用程式繼續存取其信箱。

Cmdlet New-ActiveSyncDeviceAccessRule 有一個參數，而且有三 Characteristic 個 Characteristic 選項可供系統管理員用來封鎖 iOS 版 Outlook 和 Android 應用程式。 選項為 UserAgent、DeviceModel 和 DeviceType。 在下列各節所述的兩個封鎖選項中，您將使用其中一或多個特性值來限制 iOS 和 Android 版 Outlook 對組織中信箱的存取。

下表顯示每個特性值：

使用 Cmdlet New-ActiveSyncDeviceAccessRule ，您可以使用 DeviceModel 或 DeviceType 特性來定義裝置存取規則。 在這兩種情況下，存取規則會封鎖所有平臺上的 iOS 和 Android 版 Outlook，並防止 iOS 平臺和 Android 平臺上的任何裝置透過應用程式存取 Exchange 信箱。

以下是裝置存取規則的兩個範例。 第一個範例使用 DeviceModel 特性;第二個範例使用 DeviceType 特性。

New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block

New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block